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Рассмотрена модель совершения киберпреступлений, совершаемых с использованием вредоносных кодов. Проведена форма- 
лизация предложенной модели, а также возможные меры противодействия на этапах совершения киберпреступления. Выделе- 
ны аспекты исследования информационных следов этих преступлений на этапах расследования. 


Настоящее время - эпоха информационного 
общества, в котором компьютерные и телекомму- 
никационные системы охватывают все сферы жиз- 
недеятельности человека и государства - от реше- 
ния проблем национальной безопасности, здраво- 
охранения и управления транспортом до простого 
межличностного общения. Не секрет, что все эти 
системы хранят в себе информацию, которая по- 
рой бесценна. Не секрет и то, что в мире обязатель- 
но найдутся люди, которых эта информация так 
или иначе компрометирует, и они готовы пойти на 
многое, чтобы получить эту информацию или 
уничтожить ее. 

Добиться поставленных целей возможно, если 
только пойти по двум сценариям: агентурным ме- 
тодом либо получить несанкционированный до- 
ступ к охраняемой информации программными 
средствами и осуществить задуманное. В случае 
агентурного метода эта процедура наверняка при- 
влечет к себе внимание правоохранительных орга- 
нов и спецслужб. В случае получения несанкцио- 
нированного доступа программными средствами 
это будет практически незаметно, и, что особенно 
важно, на реализацию этого способа не потребуют- 
ся значительные денежные вложения. Именно по 


этим причинам получение несанкционированного 
доступа к охраняемой информации программными 
средствами в мире особо популярно [1,2]. 

В большинстве случаев получение несанкцио- 
нированного доступа достигается при помощи вре- 
доносных кодов, реализованных на несовершен- 
стве систем защиты программного обеспечения. В 
этом случае цели достигаются не при помощи об- 
щеизвестных и детектируемых вредоносных кодов, 
именуемых в хакерской среде как «РиЫіс», а при 
помощи специализированных и настроенных под 
строго определенные условия, не детектируемых 
ни одним антивирусным пакетом, вредоносных ко- 
дов, именуемых в хакерской среде как «Ргіѵаіе». 
Стоимость таких «приватных» кодов исчисляется 
от 0,1 до нескольких сотен млн р. [3]. 

Особенностью киберпреступлений этого типа 
является то, что они совершаются по одной моде- 
ли, содержащей четко выделяемые стадии: реко- 
гносцировка (поверхностное изучение), сканиро- 
вание (подробное изучение), составление карты 
(полное изучение), получение доступа к системе, 
расширение полномочий, «зомбирование» систе- 
мы, кража информации и уничтожение следов. 
Схематично данная модель представлена на рис. 1. 
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Рис. 1 . Модель совершения киберпреступлений, совершаемых с использованием вредоносных кодов 


«Зомбирование» системы достигается при по- 
мощи специализированного вредоносного кода, 
предназначенного для удаленного управления си- 
стемой и основанное на организации и использо- 
вании несанкционированного доступа к системе. 

Также необходимо отметить, что на стадии 
«зомбирования», атакованная система, управляе- 
мая злоумышленником, сама участвует в атаке на 
другие системы. Тем самым решается проблема 
нехватки вычислительных ресурсов и пропускной 
возможности канала атакующих по отношению к 
атакуемым системам. Именно поэтому периодиче- 
ски в глобальной сети проявляются информацион- 
ные противоборства, естественно, незаконные и 
основанные на вышеописанном обстоятельстве. 

Учитывая сказанное, можно оценить эффек- 
тивность (е//) данного вида киберпреступлений, 
как оружия информационных противоборств [4]: 


где я - число систем, которые могут быть пораже- 
ны; $ - число компьютеров, которые могут одно- 
временно управляться серверной частью вредонос- 
ного кода, будучи не детектируемыми; 1 - время 
нахождения системы в состоянии «зомбирования»; 
соМ - стоимость вредоносного кода, а также на- 
кладные расходы, связанные с их применением. 

Проведенной оценкой нами установлено, что 
при использовании «базового» приватного кода 


стоимостью около 10 тыс. р., со средним временем 
устойчивого зомбирования в 10 дн. 1 , с числом си- 
стем равным 20 и с тысячью компьютеров, одно- 
временно управляемых серверной частью, числен- 
ное значение эффективности будет равно 0,1. На 
первый взгляд эта цифра может показаться крайне 
малой, но необходимо отметить, что расчет прово- 
дится относительно затраченного рубля, а стои- 
мость информации порой исчисляется десятками 
миллионов, поэтому реальное значение эффектив- 
ности колоссально. Именно благодаря высокой 
эффективности, данный вид киберпреступлений с 
каждым годом становиться все популярнее, и пото- 
му необходим научный подход в решении этой 
проблемы [6, 7]. 

Поскольку киберпреступления с использовани- 
ем вредоносных кодов имеют собственные и от- 
личные объект и субъект, специфический круг це- 
лей, определенную модель, специфический ущерб, 
уникальный алгоритм оперативных действий и 
расследования, данный вид преступлений подле- 
жит формализации. 

Для начала можно определить основные пара- 
метры модели совершения киберпреступления при 
помощи теоретико-множественного подхода. 

В этом случае злоумышленник (Х„) будет обла- 
дать следующими параметрами: 

• доступные ему средства и методы; 

• применяемые им средства и методы; 


1 Стоит отметить, что по данным компании Зутапіес среднее время, в котором система устойчиво находится в состоя- 
нии «зомбирования», обусловлено частотой актуализации общедоступных антивирусных баз, отказом в обслуживании ап- 
паратной части системы и полной сменой программной части системы [5]. 
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• профессиональное образование; 

• правовая образованность в части совершаемого 
деяния; 

• возраст; 

• социальный статус в сети; 

• принадлежность к организованным престу- 
пным группировкам. 

Объект (У„), на который происходит посягатель- 
ство, будет обладать следующими параметрами: 

• стоимость ресурса; 

• величина уязвимости; 

• частота актуализации; 

• объем хранимой информации; 

• степень категорирования информации; 

• ответственные за объект лица; 

• широта использования хранимой информации; 

• фактологическая или документальная инфор- 
мация размещена на ресурсе; 

• максимально возможная величина ущерба при 
несанкционированном доступе; 

• возможно вменяемые статьи УК РФ при атаке 
злоумышленника ; 

• глубина защищенности; 

• несанкционированное удаленное управление. 
Ущерб (/)„), наносимый объекту злоумышлен- 
ником, будет состоять из следующих параметров: 

• материальный; 

• физический; 

• иной. 

Внешнее воздействие ( Щ). влияющее на работу 
объекта, будет состоять из таких параметров как: 

• погодные условия; 

• аварии, сбои; 

• халатность обслуживающего систему персона- 
ла; 

• ошибки, допущенные при разработке системы. 
Таким образом, совершаемое киберпреступле- 
ние (СС„) будет представлено в виде множества, со- 
стоящего из подмножеств характеризующих 
объект, субъект, ущерб и внешнее воздействие: 

сс={х„,у„А,Ю- 

Модель киберпреступления будет выглядеть 
как модель «черного ящика», на который поступа- 
ют определенные воздействия и вследствие вну- 
треннего взаимодействия получается некий ответ. 
Схематично данная модель представлена на рис. 2. 

Представляют интерес для подробного рассмо- 
трения параметры объекта на этапе зомбирования 


системы, поскольку в данном состоянии система 
«двулична» - она и жертва, и атакующий, она и за- 
щищена, и беззащитна. Отклонение отдельных па- 
раметров на стадии зомбирования от нормального 2 
состояния можно представить в виде таблицы. 


Ж, 



Рис. 2. Модель совершения киберпреступлений на примере 
«черного ящика» 


Таблица. Отклонение отдельных параметров на стадии 
зомбирования от нормального состояния. Значе- 
ния приведены лишь для сравнения порядка ве- 
личин 



Значение в состоянии 


Нормальном 

Зомбирования 

Уровень уязвимости 

30 из 100 

80 из 100 

Объем хранимой информации, Мб 

200 

201 

Максимально возможная вели- 
чина ущерба при несанкциони- 
рованном доступе, млн р. 

1,0 

1,1 

Глубина защищенности, уровень 

пользователей 

гооі (системы) 

Несанкционированное удален- 
ное управление 

отсутствует 

имеется 


Оценки уровня уязвимости, приведенные по 
данным фирмы Іпіегаеі 8есигіІу 8у$1епт$, означают, 
что в состоянии зомбирования уровень уязвимости 
системы выше из-за возможности переподчинения 
«зомби-сети» 3 * , когда у злоумышленника был перех- 
вачен пароль на доступ к несанкционированному 
удаленному управлению. По этой же причине возра- 
стает и стоимость объекта, потому как в зомбиро- 
ванном состоянии стоимость объекта складывается 
из его основной стоимости, а также стоимости «зом- 
би-сети». Глубина защищенности отражает в дан- 
ном случае достаточный уровень защиты, на кото- 
ром возможно полноценное управление объектом. 

Специалистами американской фирмы ІВМ бы- 
ла предложена эмпирическая зависимость для 
оценки уязвимости [8]: 

К. = 10 ‘ 5 ' + ^ 4) , 

где 5, и V, — коэффициенты, характеризующие воз- 
можную частоту возникновения угрозы и значение 
возможного ущерба при ее возникновении. Вы- 
бранные значения этих коэффициентов лежали 
каждый в отдельности в диапазоне от 0 до 7. На- 
пример, для угрозы, ожидаемой раз в неделю 


2 Нормальное состояние системы - это такое состояние, в котором значения параметров объекта устойчивы и обеспе- 
чивают полноценное функционирование системы. 

3 «Зомби-сеть» - компьютерная сеть, состоящая из компьютеров, зараженных одним классом вредоносных программ, 

и управляемых одной серверной частью вредоносных программ. 
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(5,=6), и значения возможного ущерба около 
300 тыс. р. (У,=4), значение уязвимости будет соот- 
ветствовать ІО 6 . 

Можно также провести оценку информацион- 
ных рисков атакуемого объекта для чего целесооб- 
разно использовать модель оценки риска с тремя 
факторами: угроза, уязвимость, цена потери. Угро- 
зу и уязвимость следует понимать как: угроза - со- 
вокупность условий и факторов, которые могут 
стать причиной нарушения целостности, доступ- 
ности, конфиденциальности информации; уязви- 
мость - слабость в системе защиты, которая делает 
возможным реализацию угрозы [9]. 

Вероятность происшествия зависит от уровней 
(вероятностей) угроз и уязвимостей: 

Р =Р Р . 

проис угр уязв 

Подобающим образом риск определяется как: 

Р И С К = Р И , Р уш - ЦЕНА_ПОТЕРИ . 

Стоит отметить, что имеются практические 
сложности в реализации этого подхода, а именно 
необходимо проводить сбор весьма обширного ма- 
териала о происшествиях в этой области, а также 
возможны ошибки при оценке угроз и уязвимостей 
при недостоверном либо недостаточном статисти- 
ческом материале [10]. 

Однако не стоит думать, что отсутствуют меры 
противодействия киберпреступлениям, соверша- 
емым с использованием вредоносных кодов. Со- 
гласно основным законам криминалистики (закон 
индивидуальности, отражения, накопления и закон 
всеобщей связи и взаимной обусловленности), по- 
сле совершения киберпреступления с применением 
вредоносных кодов также остается множество сле- 
дов, как материальных, так и идеальных [11]. 
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К идеальным следам можно в данном случае от- 
нести следы виртуального общения со злоумышлен- 
ником посредством почтовых программ и сервисов 
мгновенных сообщений, например впечатление, 
сложившееся в переписке с клерком продуктовой 
компании, знакомого с тонкостями хакерского жар- 
гона. К материальным следам относятся все сведе- 
ния, зафиксированные на материальных носителях, 
например, журналы системных событий, событий 
безопасности и приложений, журналы подключе- 
ний серверов, журналы работы внешних устройств и 
т. и. [12]. Но в случае киберпреступления, связанно- 
го с применением вредоносных кодов, имеется еще 
одна очень важная группа следов - непосредствен- 
но зараженные вредоносными кодами исполняемые 
файлы. Именно исследованием этих файлов можно 
установить не только «характер и поведение» вредо- 
носной программы, но и ее отличительные особен- 
ности, такие как сетевые адреса злоумышленника, 
его кличку, его сетевой идентификатор в сети обме- 
на мгновенными сообщениями и т. д. 

Бывают и ситуации, когда объект еще только 
находится под атакой злоумышленника. В этом 
случае обнаружить его вторжения можно при по- 
мощи специализированных утилит по сбору сете- 
вого трафика, файловых и процессовых монито- 
ров, а также поиском в системных папках операци- 
онной системы упакованных объектов. В случае 
обнаружения подозрительной активности либо за- 
маскированных процессов и объектов, необходимо 
принять адекватные меры противодействия. 

Таким образом, имея модель киберпреступле- 
ния, зная ее особенности и проводя описанные вы- 
ше мероприятия, можно эффективно противодей- 
ствовать киберпреступности, основанной на ис- 
пользовании вредоносных кодов. 
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